3.0.1: Sicherheits- und Fehlerbehebungen

Ankündigungen
1

Discourse 3.0.1 Stabile Veröffentlichung

Discourse empfiehlt dringend, dass alle Websites dem Standard-Branch tests-passed von Discourse folgen. Der „stabile“ Branch konzentriert sich mehr auf mangelnde Änderungen als auf mangelnde Fehler – alle Veröffentlichungen, einschließlich derer auf tests-passed und Beta, sind produktionsreif.

Änderungen

Sicherheit

  • XSS in lokalen Oneboxen verhindern (CVE-2023-22468)
  • Der Parameter exclude_tags könnte preisgeben, welche Themen ein bestimmtes verstecktes Tag hatten (CVE-2023-23624)
  • Nur autorisierten Benutzern eingeschränkte Tag-Listen anzeigen (CVE-2023-23620)
  • ReDoS bei der User-Agent-Analyse verhindern (CVE-2023-23621)
  • ReDoS verhindern, indem der SSH-URL-Regex eindeutig gemacht wird (CVE ausstehend)
  • Umgehung für base_url entfernen (CVE-2023-23615)
  • Zeichenanzahl von Gruppenmitgliedschaftsanfragen begrenzen (CVE-2023-23616)
  • Länge von Entwürfen begrenzen (CVE-2023-22739)
  • Länge und vorab geladene Anzahl von Chat-Entwürfen begrenzen (CVE-2023-22740)
  • Rails auf v7.0.4.1 aktualisiert (siehe Ankündigung von rubyonrails.org)
  • Standardmäßig Tags anzeigen, die die Anzahl der Themen in nicht eingeschränkten Kategorien zählen (CVE ausstehend)

Fehlerbehebungen

  • Textauswahl bricht das Öffnen von Links in neuen Tabs
  • Keine leeren use/svg-Tags in ExcerptParser hinzufügen
  • E-Mail überspringen, wenn sie beim Synchronisieren von SSO-Attributen leer ist.
  • TL4-Benutzer wird beim Löschen eines Themas nicht zum neuesten weitergeleitet
  • Gelöschten Beitrag nicht für Upload-Referenzsicherheit zählen
  • Negatives Skidding zum Popper-Offset hinzugefügt
  • data-popper-reference-hidden zu breit
  • Rand am Mini-Tag-Chooser korrigiert
  • Verhindert, dass msg-actions den Hover-Text anzeigt
  • Automatischen Slug für gelöschte Kanäle generiert
  • TL4-Benutzer kann gelöschte Themen sehen
  • Modals auf Mobilgeräten scrollbar machen, wenn die Tastatur geöffnet ist
  • Nur für Mitarbeiter sichtbare Optionen nicht für Nicht-Mitarbeiter im Bulk-Menü für Gruppenmitglieder anzeigen
  • Min-Tag-Einstellung in den Tag-Bereich unter Kategorie bearbeiten verschoben
  • Falsch konfigurierte einbettbare Hosts gelöscht
  • UploadReference in UploadSecurity für vorhandene Uploads abfragen
  • E-Mail-Domänen-Website-Einstellungen vom Typ auf host_list umstellen
  • Kanalnamen nicht überschreiben, wenn eine Kategorie ausgewählt ist
  • notify_mailing_list_subscribers enqueuen, wenn ein Beitrag wiederhergestellt wird
  • Wortlaut von Titel → name auf der Kanal-Info-Seite geändert
  • Neue Hashtag-Unterstützung für den erweiterten Narrativ-Bot
  • Tags-Parameter von TopicQuery validieren
  • Falsche Hashtag-Einstellungs-Migration korrigiert
  • Hashtags in Kanalarchiv-PMs verwenden, falls verfügbar
  • Migration zum Neuindizieren ungültiger Indizes hinzugefügt
  • Sicherstellen, dass die Poll-Extraktion nicht versucht wird, wenn der Beitragsinhalt fehlt
  • Sidebar-Attribute des Benutzers vorab laden, wenn ?enable_sidebar=1
  • Gleichzeitige Aktualisierungen von top_topics verhindern
  • Ruby 2 abwärtskompatibler Plugin-Logout-Redirect
  • Flackernden Test korrigiert, der aus Keyword-Argumenten von PostAlerter resultiert
  • Fehlerberichterstattung und Fehlerfälle für die Kanalarchivierung verbessert
  • Regression in der TopicTrackingState MessageBus-Nachrichtenreichweite. (#19835)
13 „Gefällt mir“